Yedek kanala geçiş yaparken yalnızca belirli istemcilerin İnternet'e erişmesine izin veren güvenlik duvarı yapılandırması örneği
Bir Router kullanmanın standart yollarından biri, ana İnternet kanalına kablo ile bağlanması ve ayrıca bir 5G/4G/3G modem aracılığıyla yedek bir bağlantı kullanmasıdır.
Bu kurulumun mantığı şu şekildedir: Router, birincil kanaldaki (bir İSS'ye Ethernet bağlantısı) İnternet kullanılabilirliğini sürekli olarak kontrol eder ve bağlantı yoksa, bir 5G/4G/3G modem aracılığıyla otomatik olarak yedek İnternet bağlantısını kullanmaya geçer. Ardından, birincil bağlantıda İnternet bağlantısı geri geldiğinde, Router ana kanal ile çalışmaya geri döner. Ancak bu düzende, Router'a bağlı olan tüm cihazlar yedek bağlantıya geçecektir. Ve ele aldığımız yedek bağlantı mobil operatör ağı üzerinden olduğundan, trafik tasarrufu sorunu ortaya çıkar.
Aşağıda, bir Router üzerinde, yedek bir bağlantıya geçildiğinde yalnızca belirli ağ cihazlarının İnternet'e erişebilmesi, diğer tüm cihazlar için ise erişimin engellenmesi için bir güvenlik duvarı yapılandırma örneğini inceleyeceğiz.
Güvenlik duvarı ayarlarında, yedek arayüz için kurallar oluşturmamız gerekir. Örneğimizde, yedek bağlantı olarak dahili bir 5G/4G/3G modem kullanılmaktadır, ancak bu bir USB modem de olabilir. Router'a bir 5G/4G/3G modem bağlandığında, varsayılan olarak UsbLte0 türünde bir arayüz oluşturulur (arayüzün adı, bağlanan modemin türüne göre değişebilir). Bu arayüzde üç kural oluşturacağız: ikisi 192.168.1.142 ve 192.168.1.143 IP adreslerine sahip istemci cihazlara erişim izni vermek için ve biri de diğer tüm istemcilere erişimi reddetmek için.
İlk olarak, kaynak IP adresini (erişimine izin verilecek istemcinin IP adresi) ve TCP protokol türünü belirttiğimiz bir izin kuralı oluşturalım.
Birden fazla ağ cihazına erişime izin vermek istiyorsanız, onlar için de benzer kurallar oluşturun.
Ardından, kaynak IP adresi olarak alt ağı (192.168.1.0, 255.255.255.0 maskesiyle) ve protokol türü olarak TCP'yi belirterek bir engelleme kuralı oluşturuyoruz.
Daha sonraki kurulum iki şekilde mümkündür: Router yapılandırma dosyasını düzenleyerek veya Router komut satırı arayüzünden (CLI).
Yöntem 1. Router yapılandırma dosyasını düzenleme.
1.1 Sistem Dosyaları bölümündeki Genel Sistem Ayarları sayfasına gidin. startup-config dosyasını bulun. Bu, Router başlatıldığında yürütülen kullanıcı ayarlarını içeren bir metin dosyasıdır. Daha fazla düzenleme yapmak için bilgisayarınıza kaydedin.
startup-config dosya girişine tıklayın ve ardından Bilgisayara kaydet'e tıklayın. Dosya, web tarayıcınız tarafından indirilecektir. Bir dosya kaydetme penceresi belirirse, konumu (dosyanın kaydedileceği klasör) belirtin ve Kaydet veya Tamam'a tıklayın.
1.2 startup-config yapılandırma dosyasını Not Defteri gibi herhangi bir metin düzenleyicide açın. Ardından yedek sağlayıcı arayüzü yapılandırma bölümünü (örneğimizde bu UsbLte0'dır) bulun ve ip access-group satırındaki in kelimesini out ile değiştirin. Sonra dosyayı kaydedin.
Örneğimizde, şu satırda:
ip access-group _WEBADMIN_UsbLte0 inin kelimesi out ile değiştirildi ve sonuçta aşağıdaki satır elde edildi:
ip access-group _WEBADMIN_UsbLte0 out
Dosyadaki değişiklikleri kaydettiğinizden emin olun.
1.3 Şimdi düzenlenen startup-config sistem dosyasının Router'a yazılması (yüklenmesi) gerekir. Bunu yapmak için Dosyayı değiştir düğmesine tıklayın ve düzenlenen yapılandırma dosyasının yolunu belirtin.
startup-config dosyasını yükledikten sonra, Router otomatik olarak yeniden başlatılacaktır. Cihaz tamamen açılana kadar bekleyin.
Artık, yedek bağlantı etkinleştirildiğinde, Router'ın güvenlik duvarı yalnızca belirli istemcilerin İnternet'e erişmesine izin verecek ve geri kalanı için erişimi engelleyecektir.
Yöntem 2. Router'ın komut satırı arayüzünden (CLI) veya webcli'den yapılandırma.
Yöntem 1'de gösterilen aynı yapılandırma komutlar kullanılarak gerçekleştirilebilir.
Komut satırı arayüzüne veya webcli'ye bağlanın. İlk olarak, şu komutu çalıştırın:
no interface UsbLte0 ip access-group _WEBADMIN_UsbLte0 in
Ardından şu komutu çalıştırın:
interface UsbLte0 ip access-group _WEBADMIN_UsbLte0 out
in ve out parametresi, Erişim Kontrol Listesinin (ACL) uygulanacağı trafiğin yönünü belirtir.
in — gelen paketlere filtreleme uygula
out — giden paketlere filtreleme uygula
Sorunumuzu çözmek için, yedek arayüzde giden ağ paketleri için filtreleme ayarlamamız gerekir.
Daha fazla bilgi için Güvenlik duvarı nasıl çalışır? makalesine bakın
Ayarları kaydetmek için şu komutu çalıştırdığınızdan emin olun:
system configuration save
Tam komut sözdizimi için İndirme Merkezi'deki komut satırı arayüzü referans kılavuzuna bakın.